用VPN技术实现用户远程访问校园网资源

2008年第3期漳州师范学院学报(自然科学版)No.3.2008年（总第61期）JournalofZhangzhouNormalUniversity（Nat.Sci.）GeneralNo.61文章编号:1008-7826(2008)03-0121-03用VPN技术实现用户远程访问校园网资源马进宝（漳州师范学院网络与教育技术中心,福建漳州363000）摘要：VPN技术是一种新兴的网络技术，它是一个建立在现有共用网络基础上的虚拟专用网.IPSecVPN和SSLVPN是目前应用中使用较多的VPN技术.随着高校校园网可供师生访问的资源日渐增多，由于知识产权和版权等因素使得相当部分电子资源只能在校园网内部访问，不能对外网开放，校外居住的师生访问不了校园网内部资源.采用VPN技术可以实现校外师生远程访问校园网内部资源.本文根据VPN技术的不同特点和校园网应用的实际需要，探讨采用SSLVPN技术实现用户远程访问校园网资源.关键词：VPN技术;SSL_VPN;校园网;资源中图分类号:TP393.02文献标识码:B1引言VPN技术是一种新兴的网络技术，它是一个建立在现有共用网络基础上的虚拟专用网.IPSecVPN和SSLVPN是目前应用中使用较多的VPN技术.近几年，高校办学规模扩大，教师和学生在校外分散居住，他们采用电信、联通等运营商提供的宽带接入方案接入互联网，实现对公共互联网资源的访问.因知识产权和版权等限制，居住校外的师生访问不了学校内部馆藏资源，给校外师生的学习、工作造成不便.因此需要一套可管理、可认证、安全的远程访问校内资源的解决方案，使校外师生通过相应的身份认证进入校园网后再通过校园网访问校内的电子资源数据库，满足更多的师生远程访问馆藏资源的需求.采用VPN技术可以实现授权合法用户远程访问校园网内部馆藏资源，为师生提供了方便，也提高了校园网资源的利用率.2VPN技术简介VPN（VirtualPrivateNetwork，虚拟专用网）是将Internet作为计算机网络主干的一种网络模式，是利用公共网络资源来构建虚拟专用网络的技术，它以Internet为介质，构造数据传输隧道，对传输的数据进行加密和验证，通过使用加密认证等技术来虚拟出一个安全可靠的网络.其优点有：（1）降低成本：VPN是利用了现有的Internet或其它公共网络的基础设施为用户创建安全隧道，不需要使用专门的线路，采用VPN技术，只需拨入当地的ISP就可以安全的接入内部网络.（2）易于扩展：由于网络规模的扩大，节点越来越多且分散，如果都是采用专线连接，实施起来较困难，采用VPN技术，只需添加一台VPN设备，改变相关配置即可实现.（3）保证安全：VPN技术利用可靠的加密认证技术，在内部网络之间建立隧道，能够保证通迅数据的机密性和完整性，提供与专用网络一样的安全和功能保障，保证信息不被泄露或暴露给未授权的用户，保证信息不被未授权的用户改变、删除或替代.3远程访问校园网资源存在的问题由于校园网电子资源的网外访问具有应用复杂、安全性要求高、访问量大、用户环境复杂等特点，使校园网目前普遍存在如下问题.（1）用户希望能上网的地方都可以连通校园网，实现从外网访问校内馆藏资源：图书馆的馆藏资源多数是与国内、外高校合作交换图书馆数据资源，以及向国内、外商业图书馆交纳版权费，获得更多电子收稿日期:2008-03-16作者简介:马进宝(1965-),男,福建省龙海市人,实验师.122漳州师范学院学报（自然科学版）2008年文献资料的浏览权.为了保证数据信息的知识产权，浏览者主机必须是已缴纳版权费的校园网IP地址才能实现对校园网内馆藏资源的访问.（2）移动用户接入安全和远程接入易用性问题：学校图书馆购买的各类学术期刊数据库或各类电子资源等都是重要的信息资源，远程访问的安全性必须得到可靠的保证.必须采用一种易用、方便操作的方式实现校外师生用户接入校园网，方便校外师生访问校内信息资源，提高信息资源使用率，减少维护工作.（3）信息资源整合互通、不同格式电子资源应用的支持问题：由于图书馆的馆藏资源丰富，应用系统类型不同，远程接入系统需要对B/S或C/S架构的所有应用都能做到完整的支持、访问.4用VPN技术实现用户远程访问校园网资源采用VPN技术，突破校园网访问屏障，实现信息共享.随着信息资源的丰富和积累，多数教师在家中备课、从事学术研究等需要随时访问到校园网各类电子资源库，校园网必须提供一种方便的远程访问方式.4.1用VPN技术解决校内资源开放与权限两大问题（1）网络资源开放问题（2）校内资源的访问权限问题要让校外师生方便使用校园网内部资源，保证校内资源的安全性.在开放资源的同时，教师和学生在对校内资源的应用上有所不同，需要针对师生用户的不同要求，通过设定不同的访问权限等加以限制.要使师生在校外方便地远程接入校园网，保证高可靠的网络应用，实现校外师生方便的访问校内资源.4.2采用SSLVPN技术实现用户远程访问校内资源传统VPN和提供商指定VPN技术被服务供应商和企业广泛采用.然而由于它们的成本较高且功能较少，因而使得新的VPN技术，如IPSecVPN，SSLVPN正得到越来越多的应用.SSLVPN与IPSecVPN相比之间有很大的区别，IPSecVPN通常是提供站点与站点之间的连接，而SSLVPN则是为移动用户提供远程接入校园网服务很好的应用技术.可以选择采用IPSecVPN或SSLVPN来实现用户远程访问校园网内部资源，让校园网内部资源安全地对师生提供网外接入访问服务.基于IPSecVPN和SSLVPN的不同技术特点和校园网的应用实际，笔者根据所在学校校园网实际应用的经验认为采用目前流行的新技术SSLVPN可以方便解决校内资源开放与权限两个问题.从概念角度讲，SSLVPN是指采用SSL（SecuritySocketLayer）协议来实现远程接入的一种新型VPN技术.SSL协议是网景公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性.对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性.采用SSLVPN技术，使用者利用浏览器内建的SecureSocketLayer封包处理功能，用浏览器连回如校园网内部的SSLVPN服务器，然后透过网络封包转向的方式，让使用者可以在远程计算机执行应用程序，读取校园网内部服务器的数据.相对于IPSecVPN技术，SSLVPN的“零客户端”解决方案被认为是实现远程接入的昀大优势，它对缺乏维护大型IPSec配置资源的用户来说更为方便.SSLVPN的“零客户端”架构特别适合于远程用户连接，用户可通过任何Web浏览器访问企业网或校园网Web应用.（1）较大规模应用下的VPN接入需求目前国内高校的规模普遍较大，师生员工总数有的数千人，有的数万人.虽然学生绝大多数在校内住宿，学生宿舍网也接入校园网，但还有不少高校学生宿舍网没有或部分没有接入校园网，而是由不同的运营商建设、运营和管理，这部分师生访问不了校内资源.采用VPN技术接入，就必须考虑到少则数百人多则数千人甚至上万人等不同规模应用情况下，来自客户端的安全性，服务器端的稳定性和线路传输的及服务器数据处理的高效性以及用户应用的简便性.必须保证外网接入校园网的需求.（2）移动访问数字图书馆资源由于校内图书馆面对的用户群首先是本校师生，再就是校外的移动授权用户，在筹建方面，过高的成第3期马进宝:用VPN技术实现用户远程访问校园网资源123本消耗并不可取.采用VPN技术可以方便地实现用户远程访问校内资源.下图所示提供参考案例.从图中可以看到，VPN安全设备起着关键性的作用.任何经过授权的外网用户，通过SSLVPN接入技术，远程登录VPN设备，接入校园网内，完成VPN隧道建立；接着再经由VPN设备进行源IP地址转换，引入IP地址替换技术将外网移动用户自动授权，用户便可随需选择校内馆藏资源进行自由查阅和访问，无需再次手动输入验证.5结束语SSLVPN通过多线路优先选择技术、Internet线路叠加技术以及WebPush技术，充分利用了用户原有的带宽资源，保障了跨运营商接入的速度.SSLVPN作为VPN技术中一项安全的联网技术，其认证的丰富性决定了SSLVPN的安全性，成为避免账户丢失、被黑客利用的重要屏障，SSL本身就是一套提供身份验证、保密性和数据完整性的加密技术、它使用了对称加密技术，常用于在Web浏览器与Web服务器之间建立安全通信通道，使用户突破了空间的限制，实现了随时、随地的安全接入.SSLVPN已得到众多高校的广泛认可.选择SSLVPN设备和应用方案实施时要综合考虑高校的实际应用需求.参考文献:[1]CaseyWilson,PeterDoak.虚拟专用网的创建与实现[M].钟鸣,魏允韬译.北京:机械工业出版社,2000．[2]吉妮.SSLVPN让校内资源发挥更大效能[J].中国教育网络,2008,(1):50.[3]付凯.深信服SSLVPN方案走进中国政法大学[J].中国教育信息化,2007,(9):82.ImplementingtheRemoteAccesstoCampusNetworkResourcesbyVPNTechnologyMaJin-bao(NetworkandEducationalTechnologyCenter,ZhangzhouNormalUniversity,Zhangzhou,Fujian363000,China)Abstract:VPNtechnologyisanemergingnetworktechnology,whichisavirtualprivatenetworkbuiltontheexistingbasisofsharednetwork..IPSecVPNandSSLVPNareusedfrequentlyintheVPNtechnologiesatpresent.Inspiteoftheincreaseofcampusnetworkresourcesforteachersandstudentsintheuniversity,theteachersandstudentslivingoutsidethecampuscannotvisittheinternalnetworkresources,becauseasignificantportionofelectronicresourcescanonlyopenintheinternalcampusnetwork,notexternalone,whichisrestrictedbyintellectualpropertyrightsandcopyrightandotherfactors.VPNtechnologycanbeusedtoachievetheremoteaccesstointernalresourcesofcampusnetworkforteachersandstudentslivingoutside.AccordingtothedifferentcharacteristicsofVPNtechnologyandthepracticalneedfortheapplicationofcampusnetwork,thisarticlediscussestherealizationofremoteaccesstocampusnetworkresourcesbySSLVPNtechnology.Keywords:VPNtechnology;SSL_VPN;campusnetwork;resources[责任编辑：陈丽]SSLVPN加密通道远程学生用户IE浏览器VPN网关远程教师用户校园网出口路由器信息资源库